Въпреки че мрежовите администратори вече разполагат с достатъчно голяма порция заплахи, те сега трябва да се притесняват за нов софтуер за получаване на откуп на име SNAKE, който е насочен към техните мрежи и има за цел да криптира всички устройства, свързани в тях.
SNAKE се използва от престъпници, които проникват в бизнес мрежа, събират администраторски идентификационни данни и след това използват инструменти за след експлоатация, за да криптират файловете на всички компютри в мрежата.
Списъкът на заплахите, насочени към откуп, бавно се разраства и включва Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga, а сега и Snake Ransomware.
Какво знаем за SNAKE
Snake Ransomware беше открита миналата седмица от екип специалисти по киберсигурност, който се обърна към инж. Витали Кремс, за да изкследва заплахата по-подробно.
Въз основа на анализа, извършен от Кремс, този софтуер е написан на Golang и съдържа много по-високо ниво на запушване, отколкото обикновено се наблюдава при тези видове инфекции.
„Откупният софтуер съдържа ниво на рутинна обтурация, каквото не е достигано преди и обикновено се наблюдава в съчетание с целевия подход“, каза Кремс.
Когато започне, Snake премахва Shadow Volume Copies на компютъра и след това убива множество процеси, свързани със SCADA системите, виртуални машини, индустриални системи за управление, инструменти за дистанционно управление, софтуер за управление на мрежата и други.
След това се пристъпва към криптиране на файловете на устройството, като се прескачат всички, които са разположени в системните папки на Windows и различни системни файлове. Списъкът на системните папки, които се прескачат, може да намерите по-долу:
windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\
При криптиране на файл той добавя още 5 знака към разширението на файловете. Например файл с име 1.doc ще бъде кодиран и преименуван като 1.docqkWbv.
Във всеки файл, който е криптиран, SNAKE Ransomware ще добави маркера на файла „EKANS“, показан по-долу. EKANS е SNAKE в обратен ред.
В последните 7 години са тествани много вируси и поради някаква причина, на Snake е необходимо много време, за да шифрова малка тестова кутия в сравнение с много други зарази за рансъмуер. Тъй като това е таргетиран вирус за откуп, който се изпълнява по време на избора на нападателя, това може да не е толкова голям проблем, тъй като шифроването най-вероятно ще се появи след часове. C: Папка Потребители \ Публична \ Desktop с име Fix-Your-Files.txt. Тази бележка за откуп съдържа инструкции за връзка с посочен имейл адрес за инструкции за плащане. Този имейл адрес в момента е bapcocrypt@ctemplar.com.
Този софтуер за откуп все още се анализира за слабости и не се знае дали може да бъде дешифриран безплатно. В този момент обаче изглежда непробиваем.
Източник: материали от интернет